Innledende kommentarer:
Bruk av informasjonsteknologi produserer mange spor og opplysninger. Mengden slike er det litt opp til UiO og litt opp til brukeren å bestemme, men det er uomstridt at det er en betydelig mengde informasjon om hvordan en har brukt informasjonsteknologi som potensielt sett kan være tilstede.
Noen slike opplysninger lagres fordi UiO trenger dem i sin drift av systemet. Det kan være for å avdekke feil eller misbruk, måle ressursbruk eller forbedre ytelse. Uansett har UiO en del opplysninger, heretter omtalt som logger.
Loggene er skapt med ett formål for øyet, nemlig å understøtte driften av UiOs IT-systemer. Andre formål, f.eks. å overvåke brukers adferd eller å bevise hvorvidt de har begått kriminelle handlinger uvedkommende UiO er i utgangspunktet ikke en begrunnelse for at disse finnes.
I tillegg bør en hensynta det spesielle forholdet som finnes mellom en utdanningsinstitusjon og dens brukere. Det er ikke et forhold som har særlig til felles med f.eks. forholdet mellom en kommersiell leverandør av netteverkstilkoblingstjenester og dets kunder. UiOe har grunn til å se på vern av dens brukere som en særlig verdi og opptre deretter.
Håndteringen av dem bør følge formålsbestemthetsprinsippet, og dermed i utgangspunktet ikke anvendes til andre enn det opprinnelige formålet. Anvendt på et spørsmål om utlevering vil dette helle sterkt mot et negativt svar.
Til dette kommer det visse særregler i lovverket, som gjør noen innhugg i prinsippet. For det første har politi og påtalemyndighet en rett til å få identifisert hvem som har anvendt en gitt ip-adresse på et gitt tidspunkt. For det andre har man mer vidtgående regler som gir dem rett til å sikre logger, dvs. påby UiO å ta vare på spesifikt utpekte logger (men ikke utlevere dem), typisk i påvente av en kjennelse fra en domstol.
Brukerne selv bør kunne få utlevert all informasjon som angår dem selv.
Til tredjeparter bør man ikke utlevere noe, utover det som er lovpålagt, eller etter kjennelse fra en domstol.
Reglement: Utlevering av opplysninger
Utlevering av opplysninger
Det vil med jevne mellomrom kunne komme klager eller henvendelser rettet til UiO hvis mål er å få utlevert logger eller informasjon (identitet) om en bruker. Dette er i utgangspunktet ikke noe man skal gi ut. Mange av opplysningene er belagt med taushetsplikt, men også andre regler, f.eks. etter personopplysningsloven tilsier at stor forsiktighet skal utvises i forhold til utlevering av informasjon om enkeltpersoner eller om deres bruk av IT-ressurser.
Spesielt om utlevering til politi eller påtalemyndighet
Etter Ekomlovens §2-9 kan politi eller påtalemyndighet kreve å få identifisert en bruker av et ip-nummer. Andre data, f.eks. logger av trafikkdata eller innholdet i kommunikasjoner krever beslutning av en domstol.
Utlevering til andre
Utlevering opplysninger, logger eller likende til andre enn politi eller påtalemyndigheter krever beslutning fra norsk domstol.
Utlevering til brukeren selv
En bruker som ønsker utlevert seg opplysninger, logger eller likende som omhandler denne selv, kan få dette ved vanlig henvendelse til USIT. Retten til dette følger bla. av personopplysningsloven.
Fellestjenester i sektoren
For fellestjenester i sektoren, herunder en brukers utnyttelse av andre institusjoners IT-ressurser vil eventuelt misbruk enten bli tatt hånd om av brukerens vertsinstitusjon ved klage på denne fra UiO hvis ressurser er misbrukt, eller UiO hvis ressurser er misbrukt kan forfølge saken i rettsvesenet og dermed få identifisert brukeren etter reglene over.